Sadržaj nastao u suradnji s: mer

Od 1. rujna na snagu je stupio Zakon o fiskalizaciji, čime je krenulo prijelazno razdoblje za veliku reformu - od početka 2026. svi obveznici PDV-a morat će izdavati i primati e-račune.

Velika je to promjena za poduzetnike koju smo posljednjih tjedana obradili kroz više aspekata. 

Novi zakon adresira oko 300.000 poduzetnika. Procjena je da ih trenutno manje od 100.000 šalje e-račune.

mer (moj eRačun) je vodeći informacijski posrednik za eRačune u Hrvatskoj, prisutan na tržištu od 2013., a danas broji oko 130 tisuća primatelja od kojih 40 tisuća aktivno šalje račune. Također, mer se aktivno priprema za fiskalizaciju 2.0.

"Pripremamo se izuzetno, jako kvalitetno i pedantno. I imamo suradnju s najviše računovodstvenih rješenja - što ERP-ova, što računovodstvenih softvera, što softvera za masovna fakturiranja, njih preko petsto integrirano je u mer", rekao je prije nekoliko tjedana Marko Emer, direktor tvrtke Elektronički računi.

"Pouzdani smo i sigurni posrednici i, usudio bih se reći, uz Finu, vrlo vjerojatno smo jedini osigurani posrednici jer mer ima policu profesionalne odgovornosti i cyber security policu. Danas možemo reći da prenosimo preko dva milijuna računa mjesečno vrijednosti približno četiri milijarde eura, bez jednog incidenta već 13 godina", dodao je Emer.

"Nije stvar u par eura, ti ljudi vide sve o tvom poslovanju"

Osim pouzdanosti u obavljanju posla, upravo je cybersigurnost jedna od stavki koje su bitne poduzetnicima.

"Što se tiče odabira partnera u poslovanju, najbitniji su pouzdanost i iskustvo. Danas je pouzdanost nešto o čemu treba brinuti. A važno mi je da je neka firma koja radi samo to i da nudi sigurnost, nije stvar u par eura, nego povjeravaš najintimnije podatke kad je u pitanju poslovanje. Nije stvar u par eura, ti ljudi će vidjeti sve o tvom poslovanju", sažeo je u nedavnom razgovoru za Index pjevač Dražen Turina Šajeta, također korisnik mera dugi niz godina.

"Posljedice cyber napada mogu biti milijunske štete i propast firme"

Upravo smo o tom aspektu (cyber) sigurnosti porazgovarali s Nevenom Stanivukom, voditeljem odsjeka informacijske sigurnosti u tvrtki Elektronički računi.

"Kibernetička sigurnost je pojednostavljeno skup praksi kojima kompanije štite svoju digitalnu imovinu, podatke svoje tvrtke, svojih zaposlenika, te svojih korisnika i partnera od neovlaštenog pristupa ili uništenja", na početku Stanivuk kratko objašnjava definiciju.

A koje su moguće posljedice cyber napada, pitamo ga. 

"Ništa osobito. Samo moguće milijunske štete te isto takve kazne i izvjesni prestanak poslovanja kompanije koju ste gradili godinama", kaže kroz polušalu.

Nastavlja u ozbiljnom tonu. 

"Mislim da je sasvim dovoljno spomenuti događanja u ljeto 2024. gdje su stotine hrvatskih firmi postale žrtvama krađe podataka i ucjene. Od tih incidenata samo je nekoliko visokoprofilnih završilo u masovnim medijima, ostali su više ili manje uspješno uspjeli proći "ispod radara"", priča. 

Dvije skupine kibernetičkih napada

Kibernetičke napade možemo svrstati u dvije glavne grupe. U prvu spadaju oni izvedeni od "karijernih kriminalaca", a cilj im je doći do financijske koristi, priča Stanivuk. 

"Tu ulaze standardne ransomware sheme krađe ili enkripcije podataka, prijevarne transakcije i druge prijevarne radnje poput lažnog predstavljanja i zloupotrebe resursa tvrtke. U drugoj su grupi "hakerske skupine" kojima je cilj otežati ili čak zaustaviti vaše poslovanje", kaže Stanivuk. 

Pa pojašnjava.

"Ove skupine često su plaćene od neprijateljskih vlada drugih zemalja, no mogu biti plaćene i od vaše konkurencije. Ovdje spadaju razni DDoS napadi, preuzimanje kontrole ili pokušaj uništenja vaših mrežnih ili sustavnih resursa.

Tipični "nesofisticirani" primjeri bi bili plovidba sa spuštenim sidrom u kanalu gdje su postavljeni optički kabeli ili kopanje bagerom na mjestu gdje su isti položeni plitko ispod zemlje.

Sofisticirani napadi uključuju iskorištavanje slabosti u zaštiti digitalne imovine ili sigurnosnih propusta u aplikacijama, ali i socijalni inženjering i druge metode i njihove kombinacije", kaže.

"Hakeri uđu u sustav, sakriju se i čekaju najbolji trenutak za najveću štetu"

"Moram s vašim čitateljima podijeliti informaciju da će hakeri nakon upada u sustav sakrivati svoju prisutnost dok ne pronađu najbolji način za monetizaciju svog napada ili isplaniraju "završnu igru" koja će stvoriti maksimalnu štetu.

Prosječno vrijeme od upada hakera u sustav do njegovog otkrivanja je globalno u prosjeku više od 365 dana. Jesu li vaši čitatelji već sada dovoljno zabrinuti ili imate još pitanja?", priča Stanivuk. 

Koje greške rade poduzetnici?

A koje greške poduzetnici najčešće rade?

"U današnjem "cloud" svijetu, koji je za većinu malih i srednjih tvrtki eliminirao potrebu za kupovinom vlastitih sustava i zapošljavanjem visoko osposobljene radne snage, posebno je važno odabrati dobrog i pouzdanog pružatelja usluge.

U zadnjih 30 dana imali smo priliku svjedočiti višesatnoj nedostupnosti kod 3 od 4 najveća globalna pružatelja IT usluga (Azure, AWS, CloudFlare), koji su svojom nedostupnošću zasigurno stvorili milijunske štete svojim korisnicima", kaže.

"Američki tzv. "hyperscaleri" često se čine kao "dobra opcija" zbog niske cijene i jednostavnosti korištenja, međutim obrada podataka izvan EU često može biti nelegalna, i zbog Opće uredbe (GDPR), ali i specijaliziranih regulacija NIS2, DORA...

Druga stvar na koju treba paziti da niska cijena usluge izvjesno znači da su tu i tamo "podrezani" neki važni aspekti osnovnih pravila informacijske sigurnosti: sigurnosne kopije na drugoj lokaciji, KYC proces koji osigurava da je ugovaratelj usluge identificiran i ovlašten takvu uslugu otvoriti, brz pristup korisničkoj podršci naročito u slučajevima prijave, otkrivanja i ispravka funkcionalnih ili sigurnosnih incidenata.

Da samo spomenem nekoliko. Ugovaranje informacijskih usluga ne znači i prestanak potrebe za brigom o vlastitoj informacijskoj sigurnosti.

Druga važna stvar je propuštanje definiranja vlastitih sigurnosnih pravila i politika koja uključuju minimalne standarde sigurnosti podataka: lokacije, backupa, enkripcije, higijene lozinki, obavezne edukacije za zaposlenike, višefaktorska provjera vjerodajnica, KYC proces, antivirusna zaštita računala, itd. I ono što moram naglasiti, važno ih se pridržavati u svim aspektima poslovanja i za sve zaposlenike - bez iznimke", priča.

Kako spriječiti cyber napade? "Neke mjere ne predstavljaju nikakav trošak"

Kako tvrtke mogu spriječiti cyber napade?

"Samo s nekoliko organizacijskih mjera koje je lako napraviti, ne predstavljaju gotovo nikakav trošak, a iznimno su učinkovite u u jačanju vaše opće informacijske sigurnosti možete već u tjedan dana bitno očvrsnuti svoju informacijsku sigurnost", kaže Stanivuk. 

Pa nabraja tri točke.

1. Provesti edukaciju zaposlenika. Naučiti ih što je i kako prepoznati phishing, što je socijalni inženjering, upoznati ih što su slabe lozinke te naučiti o higijeni i važnosti korištenja jakih lozinki, višefaktorske provjere vjerodajnica, opasnosti dijeljenja i odavanja lozinki, pisanja istih na papiriće i lijepljenja istih po uredu i slične česte, a opasne prakse. Nadalje se to može proširiti na brigu o podacima, GDPR, sprječavanje prijevara itd. Preko 90% hakerskih napada u kojima su žrtve izgubile kontrolu nad sustavom i podacima počeli su upravo uspješnom phishing porukom. Ne mogu dovoljno naglasiti kolika je važnost edukacije.
2. Očvrsnuti pristupne točke. Provjeriti jesu li računala i mobiteli zaposlenika te poslužitelji web servisa, ako ih imate, ažurirani, imaju li aktivnu i adekvatnu antivirusnu zaštitu, uvesti pravila za korištenje računala (dobre lozinke, enkripcija, zabrana korištenja eksternih uređaja za pohranu, nemogućnost samostalne instalacije softvera itd.). Izbaciti iz poslovnih prostorija WiFi pristupne točke na zastarjelim i nesigurnim usmjerivačima i sl.
3. Napraviti reviziju poslovnih procesa i informacijske imovine. Detektirati mjesta rizika i slabosti, prava pristupa informacijama te uvesti prvo organizacijske i procesne sigurnosne mjere i kontrole, a tek onda krenuti u nabavku adekvatnih i vama prilagođenih sigurnosnih mjera i sustava. Ne treba zanemariti i procjene, ponovne odabire i promjene nesigurnih dobavljača.

Slažem se, ne zvuči osobito, ali je gotovo besplatno, a izvjesno dovoljno da spriječite napadače koji vas bez ovih mjera mogu "srediti" za manje od 30 minuta.

"mer ima izvrsne inženjere te samostalni odjel informacijske sigurnosti"

Što mer radi po pitanju cybersigurnosti?

"mer (ELEKTRONIČKI RAČUNI d.o.o.) je vrlo rano u svom poslovanju odlučio osloniti se na vlastite snage te razvio vlastite programe i sustave. Imamo izvrsne razvojne inženjere, sistemske inženjere, te samostalni odjel informacijske sigurnosti koji propisuje standarde, prakse i procese koji osiguravaju i nadziru ne samo sigurnost podataka i sustava, nego i usklađenost poslovanja.

To nas čini izrazito otpornim na prepoznate rizike, probleme pružatelja Cloud usluga i ovisnosti o jednom pružatelju usluga, ali i mogućnost da imamo kontrolu nad očuvanjem kontinuiteta poslovanja, ne samo za nas, nego i za naše korisnike.

Primarno se bavimo razmjenom e-računa, no pružamo i platne usluge, te smo kao institucija za platni promet visoko motivirani da sigurnost informacija koje obrađujemo bude na najvišem nivou", objašnjava. 

"U meru sve sustave nadziremo 24 sata dnevno"

Pa nastavlja. 

Kibernetičkoj sigurnosti pristupamo procesno i sveobuhvatno od sigurnosne provjere svake linije napisanog koda, do iznimno snažnih sustava kontrola, aktivne i pasivne zaštite od kibernetičkih napada. Nadziremo sve sustave 24 sata dnevno, radimo redovite revizije i PEN testiranja svih web aplikacija i kontinuirano ih unaprjeđujemo.

Akvizicijom mer-a od strane norveške korporacije Visma dobili smo pristup najboljim, izvjesno najskupljim ali i najučinkovitijim sustavima i alatima za kibernetičku sigurnost te bazi znanja preko 800 sličnih europskih kompanija, što nas po snazi kibernetičke sigurnosti svrstava u sam vrh hrvatskih fintech kompanija", kaže Stanivuk.

Pitamo ga još nešto. Kakvu ulogu certifikati imaju u cybersigurnosti.

"Vjerojatno nisam jedini CISO koji nema osobito visoko mišljenje o certifikatima i normama, a kao višegodišnji član tehničkog odbora za informacijsku sigurnost pri Hrvatskom zavodu za norme, proučio sam ih sve. Posjedovanje nekog certifikata po mom osobnom mišljenju nije garancija da je sustav siguran, već da se tvrtka načelno pridržava praksi i kontrola dizajniranih za zaštitu i otpornost sustava te ih sustavno dokumentira.

Ipak, činjenica da je npr. posjedovanje certifikata ISO/IEC 27001 (naročito u svojoj zadnjoj inačici iz 2022.) za tvrtke koje se bave informacijskom tehnologijom, te npr. PCI/DSS za tvrtke koje obrađuju podatke platnih kartica predstavlja apsolutan standard i veliko je upozoravajuće crveno svjetlo nad kompanijama koje ih nemaju.

Mislim da beskonačno veći doprinos od certifikata imaju moderne regulative poput DORA-e i NIS2, jer osim što su specifičnije, regulacija i visoke kazne visok su motivator da se tvrtke propisane mjere i kontrole zaista i provode"

Sponzorirani sadržaj donose Index i mer u skladu s najvišim profesionalnim standardima.